Этап 2 Несоответствие при подключении Windows 7 к ASA5505 VPN
Я пытаюсь установить новый ASA5505 в нашей сети (ранее мы использовали IPCop), и у меня возникла небольшая проблема с работой VPN. Я запустил мастер IPSec VPN в ASDM (6.3) на ASA (8.3) и выбрал второй вариант, L2TP поверх IPSec. После включения в профиль L2TP/IPSec и IPSec, я могу подключиться к следующим клиентам:
- OSX встроенный VPN-клиент
- OSX Cisco VPN клиент
- iPhone
- IPad
Я пытаюсь заставить наших клиентов Windows соединяться, но использование клиента Cisco VPN, к сожалению, не вариант для нас, так как большинство из нас используют 64-битную Windows 7, но ASA пришла с версией 5.0.06 клиента VPN, но 5.0.07 была версией, где была представлена 64-битная поддержка.
Я пытаюсь использовать встроенный клиент L2TP/IPSec в Windows 7 для подключения к VPN, но вот цепочка событий, которые я вижу на мониторе (установлен на уровне отладки) при подключении:
Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500)
Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status: Remote end IS behind a NAT device This end is NOT behind a NAT device
AAA retrieved default group policy (vpn) for user = DefaultRAGroup
Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED
IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None)
Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable!
Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)!
Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
(IP-адрес заменен на xxxx)
На этом этапе клиент Windows просто сидит и сидит и в конечном итоге время ожидания.
Кто-нибудь знает, что мне нужно изменить, чтобы заставить это работать как для клиентов, которые уже работают, так и для Windows?
Я еще не очень разбираюсь в оборудовании Cisco, поэтому прошу прощения, если есть какая-либо отладочная или дополнительная информация о журналировании, которую я должен был включить. Не стесняйтесь спрашивать, и я исправлю свой вопрос.
4 ответа
Прежде всего, дважды проверьте ваши настройки.
Все предложения IPSec SA признаны неприемлемыми!
...
Сессия сносится. Причина: несоответствие фазы 2
Это, скорее всего, означает, что действительно есть несоответствие в настройках. К сожалению, я не использовал встроенный клиент Windows и не знаю проблем совместимости.
Во-вторых, если вы не можете получить последнюю версию VPN-клиента Cisco, то есть у своего продавца, cisco.com и т. Д., То я предлагаю вам попробовать этот клиент http://www.shrew.net/software. Это то, что мы использовали до того, как Cisco исправила 64-битную проблему со своим клиентом.
Еще одно быстрое замечание: если у вас есть несколько динамических криптокарт, вам нужно сделать так, чтобы ваша криптокарта L2TP имела более высокий приоритет, чем другие. Из-за этой проблемы вы часто будете видеть "Все предложения IPSec SA признаны неприемлемыми".
Может случиться так, что окна не используют одинаковое шифрование.
Вы настраивали VPN с 3DES-MD5 или 3DES-SHA?
Просто убедитесь, что это также то, что использует Windows.
попробуйте следующее, это помогло мне после нескольких часов борьбы...
crypto ipsec transform-set myset esp-3des esp-sha-hmac
crypto ipsec transform-set myset mode transport
крипто-динамическая карта mydynamapp 20 set transform-set myset
крипто политика isakmp 10 аутентификация предварительное совместное шифрование 3des hash sha группа 2
туннельная группа DefaultRAGroup ppp-атрибуты без аутентификации chap аутентификация ms-chap-v2
имя пользователя cisco пароль cisco chap имя пользователя cisco атрибуты
vpn-tunnel-protocol l2tp-ipsec
оставьте другой конфиг мин, он должен работать.